lunes, 30 de julio de 2012

Auditoria Seguridad Windows 2008 R2 - Parte 2

Recapitulemos. Estamos configurando una auditoría para que cuando el usuario "lucas" escriba/borre algún archivo en la carpeta "prueba2" quede reflejado en el visor de eventos. Vamos a verlo:

Registro de escritura:

En el visor de eventos del servidor



Os muestro el texto en concreto:

Sujeto:
    Id. de seguridad:        LAB\lucas
    Nombre de cuenta:        lucas
    Dominio de cuenta:        LAB

    Id. de inicio de sesión:        0xce345

Información de red:   
    Tipo de objeto:        File
    Dirección de origen:        192.168.0.20
    Puerto de origen:        49226
   
Información de recurso compartido:
    Nombre de recurso compartido:        \\*\Prueba2
    Ruta de acceso de recurso compartido:        \??\C:\Prueba2
    Nombre de destino relativo:    hola.bmp

Información de solicitud de acceso:
    Máscara de acceso:        0x120089
    Accesos:        READ_CONTROL
                SYNCHRONIZE
                ReadData (o ListDirectory)
                ReadEA
                ReadAttributes
               
Resultados de la comprobación de acceso:
    READ_CONTROL:    Concedido por    D:(A;OICI;FA;;;WD)
                SYNCHRONIZE:    Concedido por    D:(A;OICI;FA;;;WD)
                ReadData (o ListDirectory):    Concedido por    D:(A;OICI;FA;;;WD)
                ReadEA:    Concedido por    D:(A;OICI;FA;;;WD)
                ReadAttributes:    Concedido por    D:(A;OICI;FA;;;WD)


Registro eliminación

Ahora nuestro amigo Lucas, por "error" eliminó el archivo



Y aquí teneis el texto del delito. Lucas te han pillado:

Se solicitó un identificador para un objeto.

Sujeto:
    Id. de seguridad:        LAB\lucas
    Nombre de cuenta:        lucas

    Dominio de cuenta:        LAB
    Id. de inicio de sesión:        0xce345

Objeto:
    Servidor del objeto:        Security
    Tipo de objeto:        File
    Nombre de objeto:        C:\Prueba2\hola.bmp
    Id. del identificador:        0xbc8

Información de proceso:
    Id. de proceso:        0x4
    Nombre de proceso:       

Información de solicitud de acceso:
    Id. de transacción:        {00000000-0000-0000-0000-000000000000}
    Accesos:        DELETE
                ReadAttributes
               
    Motivos de acceso:        DELETE:    Concedido por    D:(A;ID;FA;;;S-1-5-21-80778435-1676604896-872763488-1123)
                ReadAttributes:    Concedido por    D:(A;ID;FA;;;S-1-5-21-80778435-1676604896-872763488-1123)
               
    Máscara de acceso:        0x10080
    Privilegios usados para comprobación de acceso:    -
    Recuento de SID restringidos:    0

Si le pegáis un vistazo a lo que se puede controlar, por ejemplo también podemos monitorizar si un administrador borra una cuenta de dominio etc. Hay varias opciones.

El tema de las auditorías está bien conocer como funcionan y saber que las podemos aplicar. Como norma general no se suelen aplicar a carpetas con muchos datos y muchos usuarios concurrentes, relentizaría la red. No obstante, si es necesario por que la seguridad de la información lo requiere, ya sabéis como aplicarlas :)